Ou comment Orange met en danger vos données perso sous pretexte de vous faciliter la vie….
Je suis intervenu cette semaine pour un depannage en centre ville sur Strasbourg chez un client Orange.
S’agissant d’un cabinet medical, il est equipé d’une Livebox Pro (pour les transmission des feuilles de soins FSE securisées) et son reseau bureautique est base sur un second reseau avec un routeur Wifi Dlink en AP entre les deux PC. Le second PC n’ayant ainsi normalement pas acces à internet.
Ayant eu à reformater le second PC je viens pour le reinstaller et comme la clef Wifi n’est plus dispo 🙁 je reinitialise le routeur
Bingo, je me connecte donc directement sur le routeur Dlink dispo en Wifi avec le password par defaut et lance IE pour reconfigurer le routeur. et la je me retrouve sur la page MSN !
bizarre ca devrais pas etre posssible !
je verifie donc le routeur sur lequel je suis connecte et je me rend compte qu’il s’agit en fait d’un routeur Dlink qu’un voisin à laisse OPEN sans aucune clef de secu ! en soit pas bien grave pour mon client, et tant pis pour les inconscients !
Mais c’est la que cela devient interressant, cet utilisateur est également chez Orange ! et Orange à tendance à rediriger systematiquement sur son portail en cas d’erreur de domaine.
Je me retrouve donc naturellement sur le portail Orange.
Mais comme Orange pour nous faciliter la vie ne demande pas d’authentification lorsque l’on se connecte depuis une ligne ADSL Orange , je me retrouve connecté directement sur le compte utilisateur de mon voisin sans aucune demande de mot de passe !
J’ai donc ainsi un acces direct aux infos personnelles du compte client ! (factures, rib, options, abo tv….)
Plus marant, ce client ne possede qu’un compte mail sur Orange, et c’est ainsi que dûment authentifie ( parce qu’utilisateur legitime « ? » de la ligne ADSL je suis automatiquement authorisé) j’ai un acces direct à la messagerie de l’utilisateur encore une fois sans aucun mot de passe !
Encore plus dangeureux, dans de telles conditions vous pouvez vous rendre sur le site minitel virtuel de France Telecom et ce sera le client Orange qui sera debite sans contestation possible de sa part !
Ayant acces à son compte j’ai pu trouver les coordonnées de l’abonne Orange et l’avertir !
Specialiste des reseaux, Orange est forcemment conscient du risque de ce genre de situation (certes rares) mais on ne peut que constater que la securité des abonnes n’est pas une priorité et qu’ils preferent « forcer » les utilisateurs à passer sur leur portail (redirection automatique lors de recherches) , et le rendre plus facilement accessible sans authentification mannuelle.
peut etre aussi afin d’eviter des appels couteux à la hotline ?
Conseil :
1/ ne laisssez pas vos routeurs Wifi sans protection
2/ creez un second mail orange. Dans ce cas l’utilisateur doit s’identifier !